[How To]Homepage vor Bruteforce Attacken schützen

[IchVerabschiedeMich]

Quote:

Originally Posted by Artiom​

Ich glaub da wird sich 1/5 dran halten.

Du sollst es ja nicht als Vorschlag einbauen, du musst sie dazu zwingen.

[Shigatu]

Quote:

Originally Posted by Padrio

Du sollst es ja nicht als Vorschlag einbauen, du musst sie dazu zwingen.

Zum Beispiel ist das von Almera2 recht gut dennoch glaub ich halten sich nicht alle dran und wie willst du das bitte Kontrollieren?

 Spoiler

[.StarSplash]

Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.

Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.

@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.

[Shigatu]

Quote:

Originally Posted by .StarSplash

Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.

Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.

@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.

Normaler Weise muss man 8 Zeichen eingeben. Aber an sowas dachte ich auch schon.

[IchVerabschiedeMich]

Quote:

Originally Posted by .StarSplash

Eine Passwortrichtlinie heißt zwar bloß Richtlinie, ist aber eigentlich eher eine Vorgabe.

Du erzwingst eben statt den üblichen 5 Stellen 10, dafür kannst du sogar die nötige Komplexität des Passworts reduzieren.

@überMir: In dem du die minimale Passwortlänge auf 10 setzt, damit kannst du relativ sicher sein, dass der User ein anderes PW hat als auf anderen Servern.

Anderer vorschlag wäre:
Alle published SQLs sammeln und die User // Passwort kombinationen in eine Tabelle werfen und bei der Registration prüfen ob eine solche kombination vorhanden ist. Sollte dies der fall sein einfach dem Benutzer eine Warnung anzeigen oder quer stellen und sagen es muss ein anderes Passwort gewählt werden.

[Shigatu]

Quote:

Originally Posted by Padrio

Anderer vorschlag wäre:
Alle published SQLs sammeln und die User // Passwort kombinationen in eine Tabelle werfen und bei der Registration prüfen ob eine solche kombination vorhanden ist. Sollte dies der fall sein einfach dem Benutzer eine Warnung anzeigen oder quer stellen und sagen es muss ein anderes Passwort gewählt werden.

An sowas dachte ich auch schon, nur leider gibt es viele non pub SQLs.

[.StarSplash]

Das Problem ist, dass die meisten Passwortrichtlinien Passwörter erzwingen, die man sich schlecht merken kann, die aber verhältnismäßig leicht zu erraten sind.

Ein kleines Beispiel:

Passwort1: MeinNameIstHaseUndIchWeißVonNichts!
Passwort2: A!Jx1d23

Zeit1: 1207711722607832600 Sekunden
Zeit2: 331710215644 Sekunden

Die Zeiten sind wohl kaum exakt und sollen hier nur mal das Verhältnis darstellen.

Passwort 1 ist trotzdem deutlich einfacher zu merken.

[IgorGlock]

Naja... kurz zur Info:
Passwörter "bruteforce" Attacken auf externe Datenbanken sind aufwendig und benötigen hohe Serverleistung.
Lokal gelegenes Passwort-Hash lässt sich aber mit schnellen such-Algorithmus knacken.

Glaube nicht das es auf Mt2-P-Servern (immernoch) lohnt, da des meisten die Datenbank abschmiert oder DoS Firewall aufspringt.

[Samael]

Da fällt mir gerade was ein wobei ich aber nicht weis ob es eine sinnvolle idee währe.

Man muss erst einmal ein Captcha lösen BEVOR man überhaupt zum Login Feld kommt und dann beim Einloggen muss man nochmal ein Captcha eingeben. Wäre das nicht eine effektive lösung? 2 mal verschiedenes Captcha knacken.. xD

[.StarSplash]

Ja, das würde den Aufwand verdoppeln, aber du möchtest doch nicht jeden vergraulen oder?

Eine simple Möglichkeit wäre, nach dem einloggen eine Sekunde verstreichen zu lassen bis der nächste Loginversuch stattfinden kann, und das global. Für einen pServer mit einigen Hundert - Tausend Benutzern ist das durchaus praktikabel, die Wahrscheinlichkeit, dass sich derart viele Nutzer gleichzeitig anmelden wollen, dass es zu einer ernsthaften Warteschlange kommt ist wohl eher gering. Einen Brute-Force-Angriff über deine Webseite machst du damit aber völlig unmöglich, denn bei einem Versuch pro Sekunde kriegst du nicht einmal verhältnismäßig simple Passwörter in absehbarer Zeit geknackt.
Solange niemand an deine Datenbank kommt, ist das also eine sichere Möglichkeit.

[IchVerabschiedeMich]

Quote:

Originally Posted by .StarSplash

Ja, das würde den Aufwand verdoppeln, aber du möchtest doch nicht jeden vergraulen oder?

Eine simple Möglichkeit wäre, nach dem einloggen eine Sekunde verstreichen zu lassen bis der nächste Loginversuch stattfinden kann, und das global. Für einen pServer mit einigen Hundert - Tausend Benutzern ist das durchaus praktikabel, die Wahrscheinlichkeit, dass sich derart viele Nutzer gleichzeitig anmelden wollen, dass es zu einer ernsthaften Warteschlange kommt ist wohl eher gering. Einen Brute-Force-Angriff über deine Webseite machst du damit aber völlig unmöglich, denn bei einem Versuch pro Sekunde kriegst du nicht einmal verhältnismäßig simple Passwörter in absehbarer Zeit geknackt.
Solange niemand an deine Datenbank kommt, ist das also eine sichere Möglichkeit.

Oder eine Login-Sperre für X Sekunden wenn sich ein Benutzer bspw. 3 mal versucht hat mit Falschen Daten anzumelden.

[.Raizel#]

Quote:

Originally Posted by Padrio

Oder eine Login-Sperre für X Sekunden wenn sich ein Benutzer bspw. 3 mal versucht hat mit Falschen Daten anzumelden.

Ich würde mehr die IP sperren wenn zu oft die falschen Daten verwendet wurden. Eine PIN Funktion hilft auch(so wie auf Legonia oder wie der Server geheißen hat).

[IchVerabschiedeMich]

Quote:

Originally Posted by .Zeref#

Ich würde mehr die IP sperren wenn zu oft die falschen Daten verwendet wurden. Eine PIN Funktion hilft auch(so wie auf Legonia oder wie der Server geheißen hat).

Bei Proxys bringt eine IP Sperre nichts, in dem falle halt dem kompletten Account einen Temp-Bann geben das er sich nicht anmelden kann.

Und den Temp Bann dann aber nicht im Browser Speicher, oder die IP Sperren oder sonst was (kann man alles umgehen), sondern das in der Datenbank speichern das dieser Benutzer sich für x Sekunden nicht anmelden darf.

Das ganze kann man dann bspw. auch Exponentiell oder Linear für alle weiteren fehlschläge erhöhen, das der Temp Bann immer länger dauert.

[.Raizel#]

Quote:

Originally Posted by Padrio

Bei Proxys bringt eine IP Sperre nichts, in dem falle halt dem kompletten Account einen Temp-Bann geben das er sich nicht anmelden kann.

Und den Temp Bann dann aber nicht im Browser Speicher, oder die IP Sperren oder sonst was (kann man alles umgehen), sondern das in der Datenbank speichern das dieser Benutzer sich für x Sekunden nicht anmelden darf.

Das ganze kann man dann bspw. auch Exponentiell oder Linear für alle weiteren fehlschläge erhöhen, das der Temp Bann immer länger dauert.

Viele verwenden keine Proxy, bzw wissen nicht mal wo sie sie her kriegen.

Das PIN System ist trotzdem die kostengünstigste Lösung.^^

[IchVerabschiedeMich]

Quote:

Originally Posted by .Zeref#

Viele verwenden keine Proxy, bzw wissen nicht mal wo sie sie her kriegen.

Das PIN System ist trotzdem die kostengünstigste Lösung.^^

Wie kommst du jetzt auf Kostengünstig?